浣熊盗猎者V2内部
浣熊盗猎者再次登上新闻。美国官员逮捕了马克·索科洛夫斯基(Mark Sokolovsky),他是该程序背后的恶意软件演员之一。2022年7月,在关闭了几个月后,一辆浣熊盗猎者V2在网上疯传。上周,司法部的新闻稿称,该恶意软件收集了5000万份证书。
本文将提供最新信息窃取者版本的快速指南。
什么是浣熊信息窃取器V2?
浣熊盗猎器是一种从受感染的计算机中窃取各种数据的恶意软件。这是一个相当基本的恶意软件,但黑客已经让浣熊以出色的服务和简单的导航而受到欢迎。
2019年,浣熊信息窃取者是讨论最多的恶意软件之一。作为每周75美元和每月200美元的交换,网络犯罪分子将这种简单但多才多艺的信息窃取者作为MaaS出售。该恶意软件成功地攻击了许多系统。然而,2022年3月,威胁作者停止运营。
该恶意软件的更新版本于2022年7月发布。结果,《浣熊盗猎者V2》在网上疯传,并获得了一个新名字——RecordBreaker。
 |
| 浣熊v2的策略&;ANY.RUN沙盒中的技术 |
如何分析浣熊盗猎器V2
|
执行过程 |
浣熊恶意软件的作用 |
|
下载WinAPI库 |
使用kernel32.dll!加载库W |
|
获取WinAPI函数’地址 |
使用kernel32.dll!获取程序地址 |
|
字符串和C2服务器加密 |
使用RC4或XOR算法进行加密,可以是完全不加密,也可以是不同选项的组合 |
|
碰撞触发器 |
独联体国家区域设置,互斥 |
|
系统/本地系统级权限检查 |
使用Advapi32.dll!GetTokenInformation和Advapi32.dll!ConvertSidToStringSidW将StringSid与L“S-1-5-18”进行比较 |
|
进程枚举 |
使用TlHelp32 API(kernel32.dll!CreateToolhelp32Snapshot以捕获进程和kernel32.dll!Process32First/kernel32.dll!Process32Next)。 |
|
连接到C2服务器 |
创建字符串: 然后发送POST请求 |
|
用户和系统数据收集 |
|
|
发送收集的数据 |
对C2的POST请求。 |
|
从C2获得答案 |
C2发送“已接收” |
|
精加工操作 |
拍摄屏幕截图,释放剩余的已分配资源,卸载库,并完成工作 |
我们测试了多个浣熊盗猎器V2样本,收集了典型的行为活动,并简要描述了其执行过程。
阅读更深入、更详细的Raccoon窃取者2.0恶意软件分析。在本文中,您可以遵循所有步骤,完整了解信息窃取者的行为。除此之外,您还有机会自行提取恶意软件配置;复制Raccoon盗录器的Python脚本并解压缩内存转储以提取C&C服务器和密钥。
 |
| Raccoon v2恶意软件配置 |
分析恶意软件的位置
是否要分析恶意文件和链接?有一个快速而简单的解决方案:在ANY.RUN在线恶意软件沙盒中获取现成的配置,并调查内部和外部的可疑文件。尝试使用交互式方法破解任何恶意软件:
将“HACKERNEWS”促销代码写入support@any.run使用您的商务电子邮件地址,即可免费获得14天的ANY.RUN高级订阅!
ANY.RUN沙盒可以让您快速分析恶意软件,轻松浏览研究过程,甚至可以检测复杂的恶意软件,并获得详细报告。使用智能工具并成功搜索恶意软件。
